特許 7617225 情報セキュリティ試験方法及び情報セキュリティ試験装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】

(24)【登録日】2025-01-08

(45)【発行日】2025-01-17

(54)【発明の名称】情報セキュリティ試験方法及び情報セキュリティ試験装置

(51)【国際特許分類】

   H04W 24/06 20090101AFI20250109BHJP

   H04W 12/04 20210101ALI20250109BHJP

   H04W 12/10 20210101ALI20250109BHJP

   H04W 12/08 20210101ALI20250109BHJP

【ＦＩ】

H04W24/06

H04W12/04

H04W12/10

H04W12/08

【請求項の数】 22

(21)【出願番号】P 2023191432

(22)【出願日】2023-11-09

【審査請求日】2023-11-09

(31)【優先権主張番号】112140079

(32)【優先日】2023-10-20

(33)【優先権主張国・地域又は機関】TW

(73)【特許権者】

【識別番号】599060434

【氏名又は名称】財團法人資訊工業策進會

(74)【代理人】

【識別番号】110000154

【氏名又は名称】弁理士法人はるか国際特許事務所

(72)【発明者】

【氏名】蔡宜學

【審査官】伊東 和重

(56)【参考文献】

【文献】米国特許出願公開第２０２０／０３７４７５１（ＵＳ，Ａ１）

【文献】米国特許出願公開第２０２２／００２１５９６（ＵＳ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｂ ７／２４－７／２６

Ｈ０４Ｗ ４／００－９９／００

(57)【特許請求の範囲】

【請求項1】

情報セキュリティ試験装置が、ユーザー機器（Ｕｓｅｒ Ｅｑｕｉｐｍｅｎｔ、ＵＥ）と、配布ユニット（Ｄｉｓｔｒｉｂｕｔｅｄ Ｕｎｉｔ、ＤＵ）と制御プレーン及びユーザプレーンを有する中央ユニット（Ｃｅｎｔｒａｌ Ｕｎｉｔ、ＣＵ）とを含む基地局と、コアネットワークとが通信接続を確立した後に実施される情報セキュリティ試験方法であって、
前記コアネットワークから第１のインターフェースを通じて、前記基地局へ送信される第１のシグナリングから基地局キーを取得し、前記基地局キーに基づいて少なくとも１つの完全性キー及び少なくとも１つの暗号化キーを導出し、
前記ＣＵの前記制御プレーンから第２のインターフェースを通じて前記ＤＵへ送信される第２のシグナリングから、汎用パケット無線サービストンネリングプロトコル（ＧＰＲＳ Ｔｕｎｎｅｌｌｉｎｇ Ｐｒｏｔｏｃｏｌ、ＧＴＰ）のトンネル終点識別子（Ｔｕｎｎｅｌ Ｅｎｄ Ｉｄｅｎｔｉｆｉｅｒ、ＴＥＩＤ）及び前記ユーザプレーンの第１のインターネットプロトコル（Ｉｎｔｅｒｎｅｔ Ｐｒｏｔｏｃｏｌ、ＩＰ）アドレスを取得し、
前記ＤＵから前記第２のインターフェースを通じて前記ＣＵの前記制御プレーンへ送信される第３のシグナリングから、前記ＤＵの第２のＩＰアドレスを取得し、
前記ＣＵの前記制御プレーンから前記第２のインターフェースを通じて前記ＤＵへ送信される第４のシグナリングから、前記ＵＥの第３のＩＰアドレスを取得し、
前記少なくとも１つの完全性キー、前記少なくとも１つの暗号化キー、前記ＴＥＩＤ、前記第１のＩＰアドレス、前記第２のＩＰアドレス及び前記第３のＩＰアドレスに基づいて、第１の試験パケットを生成し第３のインターフェースを通じて前記ＣＵの前記ユーザプレーンへ送信することで、前記ＣＵが前記ＴＥＩＤ、前記第３のＩＰアドレスまたは第１の送信元ＩＰアドレスを検査するための第１のセキュリティ仕組みを有しているかどうかを判定する、第１のセキュリティ試験プロセスを実施し、前記第２のＩＰアドレスは、前記第１の送信元ＩＰアドレスとも称される、
ことを特徴とする、情報セキュリティ試験方法。

【請求項2】

前記第１のセキュリティ試験プロセスは、
前記ＴＥＩＤを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記第３のＩＰアドレス及び改ざんされた前記ＴＥＩＤを含み暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて前記第１の試験パケットを前記ＣＵの前記ユーザプレーンに送信することと、
前記ＣＵの前記ユーザプレーンが、第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの一ユーザプレーン機能（Ｕｓｅｒ Ｐｌａｎｅ Ｆｕｎｃｔｉｏｎ，ＵＰＦ）エンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信したと判定することに応答して、前記ＣＵが前記ＴＥＩＤを検査するための前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１に記載の情報セキュリティ試験方法。

【請求項3】

前記第１のセキュリティ試験プロセスは、
前記第３のＩＰアドレスを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記ＴＥＩＤ及び改ざんされた前記第３のＩＰアドレスを含み、暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて、前記第１の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが、第４のインターフェースを通じて、前記第１の試験パケットを前記コアネットワークの１つのＵＰＦエンティティへ送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて、前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティへ送信していないと判定することに応答して、前記ＣＵが、前記ＵＥの前記第３のＩＰアドレスを検査するための前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１に記載の情報セキュリティ試験方法。

【請求項4】

前記第１のセキュリティ試験プロセスは、
前記第２のＩＰアドレスを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づいて、前記ＴＥＩＤ、前記第３のＩＰアドレス及び改ざんされた前記第２のＩＰアドレスを含み暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づいて、前記第３のインターフェースを通じて、前記第１の試験パケットを前記ＣＵの前記ユーザプレーンに送信することと、
前記ＣＵの前記ユーザプレーンが、前記第１の試験パケットを第４のインターフェースを通じて前記コアネットワークの１つのＵＰＦエンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信していないと判定することに応答して、前記ＣＵが、前記第１の送信元ＩＰアドレスを検査する前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１に記載の情報セキュリティ試験方法。

【請求項5】

前記少なくとも１つの完全性キー、前記少なくとも１つの暗号化キー、前記ＴＥＩＤ、前記第１のＩＰアドレス、前記第２のＩＰアドレス及び前記第３のＩＰアドレスに基づいて、第２の試験パケットを生成し前記第３のインターフェースを通じて前記ＣＵのユーザプレーンに送信することによって、前記ＣＵが暗号化保護又は完全性保護を実行するための第２のセキュリティ仕組みを備えているか否かを判定する、第２のセキュリティ試験プロセスを実行することをさらに含む、請求項１に記載の情報セキュリティ試験方法。

【請求項6】

前記第２のセキュリティ試験プロセスは、
少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記ＴＥＩＤ、及び前記第３のＩＰアドレスを含み暗号化のあり完全性保護のない前記第２の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて前記第２の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの１つのＵＰＦエンティティへ送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが前記第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの前記ＵＰＦエンティティへ送信していないと判定することに応答して、前記ＣＵが完全性保護を実行するための前記第２のセキュリティ仕組みを有していると判定することと
を含む、請求項５に記載の情報セキュリティ試験方法。

【請求項7】

前記第２のセキュリティ試験プロセスは、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づいて、前記第２のＩＰアドレス、前記ＴＥＩＤ及び前記第３のＩＰアドレスを含み暗号化のなく完全性保護のある前記第２の試験パケットを生成することと、
前記第１のＩＰアドレスに基づいて、前記第３のインターフェースを介して前記第２の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの一ＵＰＦエンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが前記第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信していないと判定することに応答して、前記ＣＵが暗号化保護を実行するための前記第２のセキュリティ仕組みを有していると判定することと、
を含む、請求項５に記載の情報セキュリティ試験方法。

【請求項8】

前記第１のインターフェースを通じて前記コアネットワークから前記基地局に送信された第５のシグナリングから、前記ＴＥＩＤおよび前記コアネットワークのＵＰＦエンティティの第４のＩＰアドレスを取得することと、
前記第１のインターフェースを通じて前記基地局から前記コアネットワークに送信された第６のシグナリングから、前記基地局の第５のＩＰアドレスを取得することと、
前記ＴＥＩＤ、前記第３のＩＰアドレス、前記第４のＩＰアドレスおよび前記第５のＩＰアドレスに基づいて、第３の試験パケットを生成し、第４のインターフェースを介して前記コアネットワークの前記ＵＰＦエンティティに送信することにより、前記コアネットワークの前記ＵＰＦエンティティが、前記ＴＥＩＤ、前記第３のＩＰアドレス、あるいは第２の送信元ＩＰアドレスを検査するための第３のセキュリティ仕組みを有しているかどうかを判定する、第３のセキュリティ試験プロセスを実施することと、
を含み、前記第５のＩＰアドレスは、前記第２の送信元ＩＰアドレスとも称される、請求項５に記載の情報セキュリティ試験方法。

【請求項9】

前記第３のセキュリティ試験プロセスは、
前記ＴＥＩＤを改ざんすることと、
前記第３のＩＰアドレス、前記第５のＩＰアドレスおよび改ざん後の前記ＴＥＩＤを含む前記第３の試験パケットを生成することと、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したか否かを判定することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記ＴＥＩＤを検査するための前記第３のセキュリティ仕組みを有していると判定することと、
を含む、請求項８に記載の情報セキュリティ試験方法。

【請求項10】

前記第３のセキュリティ試験プロセスは、
前記第３のＩＰアドレスを改ざんすることと、
前記第５のＩＰアドレス、前記ＴＥＩＤ、及び改ざんされた前記第３のＩＰアドレスを含む前記第３の試験パケットの生成することと、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したかどうかを判断することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記第３のＩＰアドレスのチェックのための前記第３のセキュリティ仕組みを有すると判定することと、
を含む、請求項８に記載の情報セキュリティ試験方法。

【請求項11】

前記第３のセキュリティ試験プロセスは、
前記第５のＩＰアドレスを改ざんすることと、
前記ＴＥＩＤ、前記第３のＩＰアドレス及び改ざんされた前記第５のＩＰアドレスを含む前記第３の試験パケットを生成すること、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したかどうかを判断することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記第２の送信元ＩＰアドレスを検査するための前記第３のセキュリティ仕組みを有すると判定することと、
を含む、請求項８に記載の情報セキュリティ試験方法。

【請求項12】

パケット抽出部、及び前記パケット抽出部に結合した処理回路を備える情報セキュリティ試験装置であって、
パケット抽出部は、ユーザー機器（Ｕｓｅｒ Ｅｑｕｉｐｍｅｎｔ、ＵＥ）と、配布ユニット（Ｄｉｓｔｒｉｂｕｔｅｄ Ｕｎｉｔ、ＤＵ）と制御プレーン及びユーザプレーンを有する中央ユニット（Ｃｅｎｔｒａｌ Ｕｎｉｔ、ＣＵ）とを含む基地局と、コアネットワークとが通信接続を確立した後に、
前記コアネットワークから第１のインターフェースを通じて、前記基地局へ送信される第１のシグナリングから基地局キーを取得し、前記基地局キーに基づいて少なくとも１つの完全性キー及び少なくとも１つの暗号化キーを導出することと、
前記ＣＵの前記制御プレーンから第２のインターフェースを通じて前記ＤＵへ送信される第２のシグナリングから、汎用パケット無線サービストンネリングプロトコル（ＧＰＲＳ Ｔｕｎｎｅｌｌｉｎｇ Ｐｒｏｔｏｃｏｌ、ＧＴＰ）のトンネル終点識別子（Ｔｕｎｎｅｌ Ｅｎｄ Ｉｄｅｎｔｉｆｉｅｒ、ＴＥＩＤ）及び前記ユーザプレーンの第１のインターネットプロトコル（Ｉｎｔｅｒｎｅｔ Ｐｒｏｔｏｃｏｌ、ＩＰ）アドレスを取得することと、
前記ＤＵから前記第２のインターフェースを通じて前記ＣＵの前記制御プレーンへ送信される第３のシグナリングから、前記ＤＵの第２のＩＰアドレスを取得することと、
前記ＣＵの前記制御プレーンから前記第２のインターフェースを通じて前記ＤＵへ送信される第４のシグナリングから、前記ＵＥの第３のＩＰアドレスを取得することと、
を実行し、
前記処理回路は、
前記少なくとも１つの完全性キー、前記少なくとも１つの暗号化キー、前記ＴＥＩＤ、前記第１のＩＰアドレス、前記第２のＩＰアドレス及び前記第３のＩＰアドレスに基づいて、第１の試験パケットを生成し第３のインターフェースを通じて前記ＣＵの前記ユーザプレーンへ送信することで、前記ＣＵが前記ＴＥＩＤ、前記第３のＩＰアドレスまたは第１の送信元ＩＰアドレスを検査するための第１のセキュリティ仕組みを有しているかどうかを判定する、第１のセキュリティ試験プロセスを実施し、前記第２のＩＰアドレスは、前記第１の送信元ＩＰアドレスとも称される、
ことを特徴とする、情報セキュリティ試験装置。

【請求項13】

前記第１のセキュリティ試験プロセスは、
前記ＴＥＩＤを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記第３のＩＰアドレス及び改ざんされた前記ＴＥＩＤを含み暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて前記第１の試験パケットを前記ＣＵの前記ユーザプレーンに送信することと、
前記ＣＵの前記ユーザプレーンが、第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの一ユーザプレーン機能（Ｕｓｅｒ Ｐｌａｎｅ Ｆｕｎｃｔｉｏｎ，ＵＰＦ）エンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信したと判定することに応答して、前記ＣＵが前記ＴＥＩＤを検査するための前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１２に記載の情報セキュリティ試験装置。

【請求項14】

前記第１のセキュリティ試験プロセスは、
前記第３のＩＰアドレスを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記ＴＥＩＤ及び改ざんされた前記第３のＩＰアドレスを含み、暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて、前記第１の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが、第４のインターフェースを通じて、前記第１の試験パケットを前記コアネットワークの１つのＵＰＦエンティティへ送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて、前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティへ送信していないと判定することに応答して、前記ＣＵが、前記ＵＥの前記第３のＩＰアドレスを検査するための前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１２に記載の情報セキュリティ試験装置。

【請求項15】

前記第１のセキュリティ試験プロセスは、
前記第２のＩＰアドレスを改ざんすることと、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づいて、前記ＴＥＩＤ、前記第３のＩＰアドレス及び改ざんされた前記第２のＩＰアドレスを含み暗号化のあり完全性保護のある前記第１の試験パケットを生成することと、
前記第１のＩＰアドレスに基づいて、前記第３のインターフェースを通じて、前記第１の試験パケットを前記ＣＵの前記ユーザプレーンに送信することと、
前記ＣＵの前記ユーザプレーンが、前記第１の試験パケットを第４のインターフェースを通じて前記コアネットワークの１つのＵＰＦエンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが、前記第４のインターフェースを通じて前記第１の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信していないと判定することに応答して、前記ＣＵが、前記第１の送信元ＩＰアドレスを検査する前記第１のセキュリティ仕組みを有していると判定することと、
を含む、請求項１２に記載の情報セキュリティ試験装置。

【請求項16】

前記処理回路はさらに、
前記少なくとも１つの完全性キー、前記少なくとも１つの暗号化キー、前記ＴＥＩＤ、前記第１のＩＰアドレス、前記第２のＩＰアドレス及び前記第３のＩＰアドレスに基づいて、第２の試験パケットを生成し前記第３のインターフェースを通じて前記ＣＵのユーザプレーンに送信することによって、前記ＣＵが暗号化保護又は完全性保護を実行するための第２のセキュリティ仕組みを備えているか否かを判定する、第２のセキュリティ試験プロセスを実行することをさらに含む、請求項１２に記載の情報セキュリティ試験装置。

【請求項17】

前記第２のセキュリティ試験プロセスは、
少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づき、前記第２のＩＰアドレス、前記ＴＥＩＤ、及び前記第３のＩＰアドレスを含み暗号化のあり完全性保護のない前記第２の試験パケットを生成することと、
前記第１のＩＰアドレスに基づき、前記第３のインターフェースを通じて前記第２の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの１つのＵＰＦエンティティへ送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが前記第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの前記ＵＰＦエンティティへ送信していないと判定することに応答して、前記ＣＵが完全性保護を実行するための前記第２のセキュリティ仕組みを有していると判定することと
を含む、請求項１６に記載の情報セキュリティ試験装置。

【請求項18】

前記第２のセキュリティ試験プロセスは、
前記少なくとも１つの完全性キー及び前記少なくとも１つの暗号化キーに基づいて、前記第２のＩＰアドレス、前記ＴＥＩＤ及び前記第３のＩＰアドレスを含み暗号化のなく完全性保護のある前記第２の試験パケットを生成することと、
前記第１のＩＰアドレスに基づいて、前記第３のインターフェースを介して前記第２の試験パケットを前記ＣＵの前記ユーザプレーンへ送信することと、
前記ＣＵの前記ユーザプレーンが第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの一ＵＰＦエンティティに送信したか否かを判定することと、
前記ＣＵの前記ユーザプレーンが前記第４のインターフェースを通じて前記第２の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信していないと判定することに応答して、前記ＣＵが暗号化保護を実行するための前記第２のセキュリティ仕組みを有していると判定することと、
を含む、請求項１６に記載の情報セキュリティ試験装置。

【請求項19】

前記パケット抽出部はさらに、
前記第１のインターフェースを通じて前記コアネットワークから前記基地局に送信された第５のシグナリングから、前記ＴＥＩＤおよび前記コアネットワークのＵＰＦエンティティの第４のＩＰアドレスを取得することと、
前記第１のインターフェースを通じて前記基地局から前記コアネットワークに送信された第６のシグナリングから、前記基地局の第５のＩＰアドレスを取得することと、
を実行し、
前記処理回路はさらに、
前記ＴＥＩＤ、前記第３のＩＰアドレス、前記第４のＩＰアドレスおよび前記第５のＩＰアドレスに基づいて、第３の試験パケットを生成し、第４のインターフェースを介して前記コアネットワークの前記ＵＰＦエンティティに送信することにより、前記コアネットワークの前記ＵＰＦエンティティが、前記ＴＥＩＤ、前記第３のＩＰアドレス、あるいは第２の送信元ＩＰアドレスを検査するための第３のセキュリティ仕組みを有しているかどうかを判定する、第３のセキュリティ試験プロセスを実施することと、
を含み、前記第５のＩＰアドレスは、前記第２の送信元ＩＰアドレスとも称される、請求項１６に記載の情報セキュリティ試験装置。

【請求項20】

前記第３のセキュリティ試験プロセスは、
前記ＴＥＩＤを改ざんすることと、
前記第３のＩＰアドレス、前記第５のＩＰアドレスおよび改ざん後の前記ＴＥＩＤを含む前記第３の試験パケットを生成することと、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したか否かを判定することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記ＴＥＩＤを検査するための前記第３のセキュリティ仕組みを有していると判定することと、
を含む、請求項１９に記載の情報セキュリティ試験装置。

【請求項21】

前記第３のセキュリティ試験プロセスは、
前記第３のＩＰアドレスを改ざんすることと、
前記第５のＩＰアドレス、前記ＴＥＩＤ、及び改ざんされた前記第３のＩＰアドレスを含む前記第３の試験パケットの生成することと、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したかどうかを判断することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記第３のＩＰアドレスのチェックのための前記第３のセキュリティ仕組みを有すると判定することと、
を含む、請求項１９に記載の情報セキュリティ試験装置。

【請求項22】

前記第３のセキュリティ試験プロセスは、
前記第５のＩＰアドレスを改ざんすることと、
前記ＴＥＩＤ、前記第３のＩＰアドレス及び改ざんされた前記第５のＩＰアドレスを含む前記第３の試験パケットを生成すること、
前記第４のＩＰアドレスに基づき、前記第４のインターフェースを通じて前記第３の試験パケットを前記コアネットワークの前記ＵＰＦエンティティに送信することと、
前記コアネットワークの前記ＵＰＦエンティティが第５のインターフェースを通じて前記第３の試験パケットをデータネットワークに送信したかどうかを判断することと、
前記コアネットワークの前記ＵＰＦエンティティが前記第５のインターフェースを通じて前記第３の試験パケットを前記データネットワークに送信していないと判断することに応答して、前記コアネットワークの前記ＵＰＦエンティティが前記第２の送信元ＩＰアドレスを検査するための前記第３のセキュリティ仕組みを有すると判定することと、
を含む、請求項１９に記載の情報セキュリティ試験装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、情報セキュリティ試験方法及び情報セキュリティ試験装置に関し、特に基地局の中央ユニットの情報セキュリティ試験方法及び情報セキュリティ試験装置に関する。

【背景技術】

【0002】

オープンラジオアクセスネットワーク（Ｏｐｅｎ Ｒａｄｉｏ Ａｃｃｅｓｓ Ｎｅｔｗｏｒｋ、Ｏ－ＲＡＮ）の構造中において、基地局は配布ユニット及び中央ユニットを含むことができる。さらに、既存の情報セキュリティ試験方法は、ランダムなトンネル終点識別子（Ｔｕｎｎｅｌ Ｅｎｄ Ｉｄｅｎｔｉｆｉｅｒ、ＴＥＩＤ）及びランダムなインターネットプロトコル（Ｉｎｔｅｒｎｅｔ Ｐｒｏｔｏｃｏｌ、ＩＰ）アドレスを生成し、ランダムなＴＥＩＤ及びランダムなＩＰアドレスを用いて、基地局の中央ユニットがＴＥＩＤ及びＩＰアドレスを検査するためのセキュリティ仕組みを持つかどうかを試験するものである。

【0003】

このような状況において、既存の情報セキュリティ試験方法は、試験効率が低く、基地局の中央ユニットに対する攻撃試験が盲目的で、中央ユニットがＴＥＩＤまたはＩＰアドレスを検査するためのセキュリティ仕組みを持つかどうかを正確に判定することができず、中央ユニットの機密性及び完全性保護機能についても試験することができない。

【発明の概要】

【発明が解決しようとする課題】

【0004】

本発明が解決しようとする技術的課題は、現存する技術の不足を補完するための情報セキュリティ試験方法及び情報セキュリティ試験装置を提供することであり、合法的なユーザーのトンネル終点識別子及びＩＰアドレスを取得し、取得したトンネル終点識別子及びＩＰアドレスを用いて中央ユニットがトンネル終点識別子またはＩＰアドレスを検査するためのセキュリティ仕組みを持っているかどうかを判定する。

【課題を解決するための手段】

【0005】

上記の技術的課題を解決するため、本発明の１つの実施形態では、以下のような情報セキュリティ試験方法を提供する。情報セキュリティ試験方法は、ユーザー機器、基地局及びコアネットワークとの通信接続が確立された後に情報セキュリティ試験装置によって実行される。前記情報セキュリティ試験方法は、コアネットワークから第１のインターフェースを通じて、配布ユニットと、制御プレーン及びユーザプレーンを含む中央ユニットとを備える基地局へ送信される第１のシグナリングから基地局キーを取得し、前記基地局キーに基づいて少なくとも１つの完全性キー及び少なくとも１つの暗号化キーを導出することと、中央ユニットの制御プレーンから第２のインターフェースを通じて配布ユニットへ送信される第２のシグナリングから汎用パケット無線サービストンネリングプロトコル（ＧＰＲＳ Ｔｕｎｎｅｌｌｉｎｇ Ｐｒｏｔｏｃｏｌ，ＧＴＰ）のトンネル終点識別子（ＴＥＩＤ）及びユーザプレーンの第１のＩＰアドレスを取得することと、配布ユニットから第２のインターフェースを通じて中央ユニットの制御プレーンへ送信される第３のシグナリングから配布ユニットの第２のＩＰアドレスを取得することと、中央ユニットの制御プレーンから第２のインターフェースを通じて配布ユニットへ送信される第４のシグナリングからユーザー機器の第３のＩＰアドレスを取得することと、少なくとも１つの完全性キー、少なくとも１つの暗号化キー、トンネル終点識別子、第１のＩＰアドレス、第２のＩＰアドレス及び第３のＩＰアドレスに基づいて第１の試験パケットを生成し、第３のインターフェースを通じて中央ユニットのユーザプレーンへ送信することにより、中央ユニットが、トンネル終点識別子、第３のＩＰアドレスまたは第１の送信元ＩＰアドレスを検査するための第１のセキュリティ仕組みを持っているかどうかを判定するように、第１のセキュリティ試験プロセスを行うことと、を含む。

【0006】

上述の技術問題を解決するため、本発明が採用する別の技術方案は、情報セキュリティ試験装置を提供することである。情報セキュリティ試験装置は、パケット抽出部及び処理回路を含む。パケット抽出部は、ユーザー機器、基地局及びコアネットワークが通信接続を確立した後、コアネットワークから第１のインターフェースを通じて、配布ユニットと、制御プレーン及びユーザプレーンを含む中央ユニットとを備える基地局へ送信される第１のシグナリングから基地局キーを取得し、前記基地局キーに基づいて少なくとも１つの完全性キー及び少なくとも１つの暗号化キーを導出することと、中央ユニットの制御プレーンから第２のインターフェースを通じて配布ユニットへ送信される第２のシグナリングから汎用パケット無線サービストンネリングプロトコル（ＧＰＲＳ Ｔｕｎｎｅｌｌｉｎｇ Ｐｒｏｔｏｃｏｌ，ＧＴＰ）のトンネル終点識別子（ＴＥＩＤ）及びユーザプレーンの第１のＩＰアドレスを取得することと、配布ユニットから第２のインターフェースを通じて中央ユニットの制御プレーンへ送信される第３のシグナリングから配布ユニットの第２のＩＰアドレスを取得することと、中央ユニットの制御プレーンから第２のインターフェースを通じて配布ユニットへ送信される第４のシグナリングからユーザー機器の第３のＩＰアドレスを取得することと、少なくとも１つの完全性キー、少なくとも１つの暗号化キー、トンネル終点識別子、第１のＩＰアドレス、第２のＩＰアドレス及び第３のＩＰアドレスに基づいて第１の試験パケットを生成し、第３のインターフェースを通じて中央ユニットのユーザプレーンへ送信することにより、中央ユニットが、トンネル終点識別子、第３のＩＰアドレスまたは第１の送信元ＩＰアドレスを検査するための第１のセキュリティ仕組みを持っているかどうかを判定するように、第１のセキュリティ試験プロセスを行うことと、を実行するように設定されている。

【0007】

本発明の特徴及び技術内容をさらに理解するため、以下の本発明に関する詳細な説明と図示を参照してください。しかしながら、提供される図示は参考及び説明のためだけに用いられ、本発明を制限するものではない。

【図面の簡単な説明】

【0008】

【図1】本発明の実施形態の情報セキュリティ試験装置の機能ブロック図である。

【図2】本発明の実施形態の情報セキュリティ試験方法のフローチャートである。

【図3】本発明の実施形態の情報セキュリティ試験装置のパケット抽出部が設定されて第１の試験パラメータ取得プロセスの模式図である。

【図4】本発明の実施形態の情報セキュリティ試験装置の処理回路が設定されて第１のセキュリティ試験プロセスを実行する模式図である。

【図5】本発明の第１の実施形態の第１のセキュリティ試験プロセスのフローチャートである。

【図6】本発明の第２の実施形態の第１のセキュリティ試験プロセスのフローチャートである。

【図7】本発明の第３の実施形態の第１のセキュリティ試験プロセスのフローチャートである。

【図8】本発明の実施形態の情報セキュリティ試験装置の処理回路が設定されて第２のセキュリティ試験プロセスを実行する模式図である。

【図9】本発明の第１の実施形態の第２のセキュリティ試験プロセスのフローチャートである。

【図10】本発明の第２の実施形態の第２のセキュリティ試験プロセスのフローチャートである。

【図11】本発明の第２の実施形態の情報セキュリティ試験方法のフローチャートである。

【図12】本発明の実施形態の情報セキュリティ試験装置のパケット抽出部が設定されて第２の試験パラメータ取得プロセスの模式図である。

【図13】本発明の実施形態の情報セキュリティ試験装置の処理回路が設定されて第３のセキュリティ試験プロセスを実行する模式図である。

【図14】本発明の第１の実施形態の第３のセキュリティ試験プロセスのフローチャートである。

【図15】本発明の第２の実施形態の第３のセキュリティ試験プロセスのフローチャートである。

【図16】本発明の第３の実施形態の第３のセキュリティ試験プロセスのフローチャートである。

【発明を実施するための形態】

【0009】

下記より、具体的な実施例で本発明が開示する実施形態を説明する。当業者は本明細書の公開内容により本発明のメリット及び効果を理解し得る。本発明は他の異なる実施形態により実行又は応用できる。本明細書における各細節も様々な観点又は応用に基づいて、本発明の精神逸脱しない限りに、均等の変形と変更を行うことができる。また、本発明の図面は簡単で模式的に説明するためのものであり、実際的な寸法を示すものではない。以下の実施形態において、さらに本発明に係る技術事項を説明するが、公開された内容は本発明を限定するものではない。

【0010】

図１及び図２を参照する。図１は、本発明の実施形態の情報セキュリティ試験装置の機能ブロック図であり、図２は本発明の実施形態の情報セキュリティ試験方法のステップのフロー図である。図１に示すように、本実施形態の情報セキュリティ試験装置１０は、基地局１４とコアネットワーク１６に結合可能であり、パケット抽出部１００及び処理回路１０２を含む。

【0011】

パケット抽出部１００は、インターフェース上で伝送される信号を捕捉し、分析することができるハードウェアデバイス、例えば、ネットワークアクセスポイント（Ｔｅｓｔ Ａｃｃｅｓｓ Ｐｏｉｎｔｓ、ＴＡＰｓ）である。しかし、本発明は、パケット抽出部１００の具体的な実施形態を制限するものではない。また、処理回路１０２は、パケット抽出部１００に結合され、ハードウェア（例えば、中央処理器及びメモリ）とソフトウェア及び／またはファームウェアとが協働することによって実現することができるが、本発明は、処理回路１０２の具体的な実施形態を制限するものではない。

【0012】

本実施形態において、基地局１４とコアネットワーク１６は、第１のインターフェース２１を通じて信号を伝送することができる。そして、基地局１４はＯ－ＲＡＮアーキテクチャの基地局である。このため、基地局１４は、配布ユニット１４０及び中央ユニット１４２を含む。また、中央ユニット１４２は制御プレーン１４２０及びユーザプレーン１４２２を含む。さらに、配布ユニット１４０と中央ユニット１４２の制御プレーン１４２０は、第２のインターフェース２２（すなわちＦ１－Ｃインターフェース）を通じて信号を伝送することができ、配布ユニット１４０と中央ユニット１４２のユーザプレーン１４２２は、第３のインターフェース２３（すなわちＦ１－Ｕインターフェース）を通じて信号を伝送することができる。図２に示すように、本実施形態の情報セキュリティ試験方法は、情報セキュリティ試験装置１０がユーザー機器１２、基地局１４及びコアネットワーク１６との通信接続を確立した後に実行され、以下のステップを含む。

【0013】

ステップＳ１１０：コアネットワークから第１のインターフェースを経由して基地局へ送信される第１のシグナリングから基地局キーを取得し、前記基地局キーに基づき、少なくとも１つの完全性キー及び少なくとも１つの暗号化キーを導出する。

【0014】

ステップＳ１２０：中央ユニットの制御プレーンから第２のインターフェースを経由して配布ユニットへ送信される第２のシグナリングからＧＴＰのＴＥＩＤ及びユーザプレーンの第１のＩＰアドレスを取得する。

【0015】

ステップＳ１３０：配布ユニットから第２のインターフェースを経由して中央ユニットの制御プレーンへ送信される第３のシグナリングから配布ユニットの第２のＩＰアドレスを取得する。

【0016】

ステップＳ１４０：中央ユニットの制御プレーンから第２のインターフェースを経由して配布ユニットへ送信される第４のシグナリングのからユーザー機器の第３のＩＰアドレスを取得する。

【0017】

ステップＳ１５０：少なくとも１つの完全性キー、少なくとも１つの暗号化キー、ＴＥＩＤ、第１のＩＰアドレス、第２のＩＰアドレス及び第３のＩＰアドレスを基に、第１の試験パケットを生成し、それを第３のインターフェースを通じて中央ユニットのユーザプレーンへ送信することにより、中央ユニットがＴＥＩＤ、第３のＩＰアドレスまたは第１の送信元インターネットプロトコルアドレスを検査するための第１のセキュリティ仕組みを有しているかどうかを判定する、第１のセキュリティ試験プロセスを実行する。

【0018】

以下の説明の便宜のため、上記のステップＳ１１０からＳ１４０までを第１の試験パラメータ取得プロセスとして定義することができる。そして、情報セキュリティ試験装置１０のパケット抽出部１００は、ユーザー機器１２、基地局１４及びコアネットワーク１６が通信接続を確立した後、前記第１の試験パラメータ取得プロセスを実行するように構成される。図３も参照されたい。図３は、本発明の実施形態の情報セキュリティ試験装置のパケット抽出部が第１の試験パラメータ取得プロセスを実行する構成の模式図である。また、インターフェース上で伝送される信号について、本実施形態は、それをインターフェースの下で順序通りに表示する。

【0019】

図３に示すように、Ｏ－ＲＡＮ構造の基地局１４に対応するため、コアネットワーク１６は、アクセス及び移動機能（Ａｃｃｅｓｓ ａｎｄ Ｍｏｂｉｌｉｔｙ Ｆｕｎｃｔｉｏｎ，ＡＭＦ）エンティティ１６０と、ユーザプレーン機能（Ｕｓｅｒ Ｐｌａｎｅ Ｆｕｎｃｔｉｏｎ，ＵＰＦ）エンティティ１６２を含む（図３はこれを描写していない）。従って、ユーザー機器１２、基地局１４、及びコアネットワーク１６に通信接続が確立された後、パケット抽出部１００は、コアネットワーク１６のＡＭＦエンティティ１６０から中央ユニット１４２の制御プレーン１４２０へと、例えばＮ２インターフェースである第１のインターフェース２１を通じて送信される第１のシグナリングＭ１から、基地局キーＫ_ｇＮＢを取得することができる（図３もこれを描写していない）。そして、基地局キーＫ_ｇＮＢに基づいて、パケット抽出部１００は、第１の完全性キーＫＲ_{ＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}、及び第２の暗号化キーＫ_{ＵＰｅｎｃ}を導出することができる。例えば、パケット抽出部１００は、キー導出関数（Ｋｅｙ Ｄｅｒｉｖａｔｉｏｎ Ｆｕｎｃｔｉｏｎ，ＫＤＦ）を使用して、基地局キーＫ_ｇＮＢに基づいて第１の完全性キーＫ_{ＲＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}、及び第２の暗号化キーＫ_{ＵＰｅｎｃ}を導出することができる。

【0020】

本実施形態において、第１のシグナリングＭ１は、例えば、基地局キーＫ_ｇＮＢを含む初期コンテキスト設定要求（Ｉｎｉｔｉａｌ Ｃｏｎｔｅｘｔ Ｓｅｔｕｐ Ｒｅｑｕｅｓｔ）シグナリングであるが、本発明はこれに限定されない。また、基地局キーＫ_ｇＮＢに基づいて第１の完全性キーＫ_{ＲＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}及び第２の暗号化キーＫ_{ＵＰｅｎｃ}を導出する技術手段は、既に当業者が知っているため、詳細については述べない。

【0021】

次に、パケット抽出部１００は、中央ユニット１４２の制御プレーン１４２０から第２のインターフェース２２（すなわちＦ１－Ｃインターフェース）を通じて配布ユニット１４０へ送信される第２のシグナリングＭ２からＧＴＰのＴＥＩＤ及びユーザプレーン１４２２の第１のＩＰアドレスＵＰ＿ＩＰを取得することができる。そして、配布ユニット１４０から第２のインターフェース２２を通じて中央ユニット１４２の制御プレーン１４２０へ送信される第３のシグナリングＭ３から配布ユニット１４０の第２のＩＰアドレスＤＵ＿ＩＰを取得することができる。

【0022】

本実施形態において、第２のシグナリングＭ２は、例えばその内容がＴＥＩＤ及び第１のＩＰアドレスＵＰ＿ＩＰを含むユーザー機器上下文設定要求（ＵＥ Ｃｏｎｔｅｘｔ Ｓｅｔｕｐ Ｒｅｑｕｅｓｔ）シグナリングである。そして、第３のシグナリングＭ３は例えばその内容が第２のＩＰアドレスＤＵ＿ＩＰを含むユーザー機器上下文設定応答（ＵＥ Ｃｏｎｔｅｘｔ Ｓｅｔｕｐ Ｒｅｓｐｏｎｓｅ）シグナリングであるが、本発明はこれに限定されない。なお、この時点でのユーザー機器１２、基地局１４及びコアネットワーク１６は通信接続が確立されているため、パケット抽出部１００が取得したＴＥＩＤは合法的なユーザーのＴＥＩＤとも称される。

【0023】

さらに、パケット抽出部１００は、中央ユニット１４２の制御プレーン１４２０から第２のインターフェース２２を通じて配布ユニット１４０へ送信される第４のシグナリングＭ４から、ユーザー機器１２の第３のＩＰアドレスＵＥ＿ＩＰを取得することができる。また、パケット抽出部１００が取得した第１の完全性キーＫ_{ＲＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}、第２の暗号化キーＫ_{ＵＰｅｎｃ}、ＴＥＩＤ、第１のＩＰアドレスＵＰ＿ＩＰ、第２のＩＰアドレスＤＵ＿ＩＰ及び第３のＩＰアドレスＵＥ＿ＩＰに応答して、処理回路１０２は、設定されて第１のセキュリティ試験プロセスを実行する。

【0024】

本実施形態中、第４のシグナリングＭ４は、その内容が第３のＩＰアドレスＵＥ＿ＩＰを含むプロトコルデータユニット（Ｐｒｏｔｏｃｏｌ Ｄａｔａ Ｕｎｉｔ，ＰＤＵ）のセッション確立受け入れ（Ｓｅｓｓｉｏｎ Ｅｓｔａｂｌｉｓｈｍｅｎｔ Ａｃｃｅｐｔ）シグナリングであるが、本発明はこれに限らない。同様に、この時のユーザー機器１２、基地局１４及びコアネットワーク１６は通信接続がすでに確立されているため、パケット抽出部１００が取得した第３のＩＰアドレスＵＥ＿ＩＰも合法的なユーザーのＩＰアドレスと呼ぶ。

【0025】

このことから、現存技術に比べて本実施形態の情報セキュリティ試験方法および情報セキュリティ試験装置１０は、合法的なユーザーのＴＥＩＤおよびＩＰアドレス（すなわち第３のＩＰアドレスＵＥ＿ＩＰ）を取得できる。また、中央ユニット１４２にとって、配布ユニット１４０の第２のＩＰアドレスＤＵ＿ＩＰは、第１の送信元インターネットプロトコルアドレスＳ１＿ＩＰとも称される（図示せず）。そして、中央ユニット１４２は、第１の送信元インターネットプロトコルアドレスＳ１＿ＩＰを検査するための第１のセキュリティ仕組みを持つ。

【0026】

したがって、処理回路１０２は、パケット抽出部１００が取得したトンネル終点識別子（ＴＥＩＤ）、第３のＩＰアドレスＵＥ＿ＩＰまたは第２のＩＰアドレスＤＵ＿ＩＰを改ざんして、中央ユニット１４２がトンネル終点識別子（ＴＥＩＤ）、第３のＩＰアドレスＵＥ＿ＩＰまたは第１の送信元インターネットプロトコルアドレスＳ１＿ＩＰを検査するための第１のセキュリティ仕組みを持つかどうかを試験することができる。以下の説明を容易にするために、パケット抽出部１００が取得したトンネル終点識別子、第３のＩＰアドレスＵＥ＿ＩＰおよび第２のＩＰアドレスＤＵ＿ＩＰは、複数の第１の試験パラメータとして定義される。図４を併せて参照されたい。図４は、本発明の実施形態の情報セキュリティ試験装置の処理回路が第１のセキュリティ試験プロセスを実行する際の構成を示す模式図である。

【0027】

図４に示すように、１つの第１の試験パラメータに対して改ざんした後、処理回路１０２は、第１の完全性キーＫ_{ＲＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}及び第２の暗号化キーＫ_{ＵＰｅｎｃ}に基づき、暗号化及び完整性が保護された第１の試験パケットＴＰ１を生成することができ、第１の試験パケットＴＰ１のコンテンツは、改ざん後の第１の試験パラメータ（以下、第１の目的試験パラメータと簡称）及び他の未改ざんの第１の試験パラメータを含む。例えば、処理回路１０２は、暗号化保護アルゴリズム及び完整性保護アルゴリズムを使用して、上記キーに基づき暗号化及び完整性を保護した第１の試験パケットＴＰ１を生成することができる。また、第１のＩＰアドレスＵＰ＿ＩＰに基づき、処理回路１０２は、第３のインターフェース２３（即ちＦ１－Ｕインターフェース）を通じて中央ユニット１４２のユーザプレーン１４２２へ第１の試験パケットＴＰ１を送信する。

【0028】

次に、処理回路１０２は、中央ユニット１４２のユーザプレーン１４２２が、第４のインターフェース２４（即ちＮ３インターフェース）を通じて第１の試験パケットＴＰ１をコアネットワーク１６のＵＰＦエンティティ１６２へ送信したかどうかを判定することができる。中央ユニット１４２のユーザプレーン１４２２が第４のインターフェース２４を通じて第１の試験パケットＴＰ１をコアネットワーク１６のＵＰＦエンティティ１６２へ送信しないと判定したことに応答して、処理回路１０２は、中央ユニット１４２が第１の目的試験パラメータを検査する第１のセキュリティ仕組みを有していると判定することができる。

【0029】

具体的に言えば、処理回路１０２は、パケット抽出部１００を通じて第４のインターフェース２４上で伝送される信号を抽出し、分析して、ユーザプレーン１４２２が第４のインターフェース２４を介して第１の試験パケットＴＰ１をＵＰＦエンティティ１６２へ送信したかどうかを判定する。しかし、本発明では、処理回路１０２がユーザプレーン１４２２が第４のインターフェース２４を介して第１の試験パケットＴＰ１をＵＰＦエンティティ１６２へ送信したかどうかを判定する具体的な実施方式に制限されない。

【0030】

さらに、図５を参照されたい。図５は、本発明の第１の実施形態の第１のセキュリティ試験プロセスのフローチャートである。図５に示すように、処理回路１０２がパケット抽出部１００から得られるＴＥＩＤ（即ち、合法的なユーザのＴＥＩＤ）を改ざんする選択をした場合、本実施形態の第１のセキュリティ試験プロセスは以下のステップを含む。

【0031】

ステップＳ１５１１：ＴＥＩＤを改ざんする。

【0032】

ステップＳ１５１２：少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づき、暗号化及び完全性保護を持つ第１の試験パケットを生成する。そして、第１の試験パケットのコンテンツは第２のＩＰアドレス、第３のＩＰアドレス及び改ざん後のＴＥＩＤを含む。

【0033】

ステップＳ１５１３：第１のＩＰアドレスに基づき、第３のインターフェースを通じて中央ユニットのユーザプレーンへ第１の試験パケットを送信する。

【0034】

ステップＳ１５１４：中央ユニットのユーザプレーンが第４のインターフェースを通じてコアネットワークのＵＰＦエンティティへ第１の試験パケットを送信したかどうかを判定する。そうである場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５１５に進む。そうでない場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５１６に進む。

【0035】

ステップＳ１５１５：中央ユニットがＴＥＩＤを確認するための第１のセキュリティ仕組みを持たないと判定する。

【0036】

ステップＳ１５１６：中央ユニットがＴＥＩＤを検査するための第１のセキュリティ仕組みを有することと判定する。関連する詳細は既に前述の内容に記載されているため、ここでは繰り返し述べる必要はない。

【0037】

一方、図６も参照されたい。図６は本発明の第２の実施形態の第１のセキュリティ試験プロセスのフローチャートである。図６に示すように、処理回路１０２がパケット抽出部１００から得られる第３のＩＰアドレスＵＥ＿ＩＰ（すなわち合法的なユーザーのＩＰアドレス）を改ざんする選択をした場合、この実施形態の第１のセキュリティ試験プロセスは以下のステップを含む。

【0038】

ステップＳ１５２１：第３のＩＰアドレスを改ざんする。

【0039】

ステップＳ１５２２：少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づき、暗号化および完全性を保護した第１の試験パケットを生成し、その第１の試験パケットのコンテンツは第２のＩＰアドレス、ＴＥＩＤ及び改ざんされた第３のＩＰアドレスを含む。

【0040】

ステップＳ１５２３：第１のＩＰアドレスに基づき、第３のインターフェースを通じて中央ユニットのユーザプレーンへ第１の試験パケットを送信する。

【0041】

ステップＳ１５２４：中央ユニットのユーザプレーンが、第４のインターフェースを通じて第１の試験パケットをコアネットワークのＵＰＦエンティティへ送信したかどうか判定する。もし送信した判定する場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５２５へ進む。もし送信していないと判定する場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５２６へ進む。

【0042】

ステップＳ１５２５：中央ユニットは、第３のＩＰアドレスを検査するための第１のセキュリティ仕組みを有していないと判定する。

【0043】

ステップＳ１５２６：中央ユニットは、第３のＩＰアドレスを検査するための第１のセキュリティ仕組みを有していると判定する。関連する詳細は既に前述の内容と同様であるため、ここで再度詳述することはない。

【0044】

同様に、図７を参照するようにお願いする。図７は本発明の第３実施形態の第１のセキュリティ試験プロセスのフローチャートである。図７に示すように、処理回路１０２が、パケット抽出部１００から取得された第２のＩＰアドレスＤＵ＿ＩＰ（すなわち、第１の送信元インターネットプロトコルアドレスＳ１＿ＩＰ）を改ざんする選択をした場合、本実施形態の第１のセキュリティ試験プロセスは以下のステップを含む。

【0045】

ステップＳ１５３１：第２のＩＰアドレスを改ざんする。

【0046】

ステップＳ１５３２：少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づいて、暗号化及び完全性の保護を持つ第１の試験パケットを生成する。そして、第１の試験パケットのコンテンツはＴＥＩＤ、第３のＩＰアドレス及び改ざん後の第２のＩＰアドレスを含む。

【0047】

ステップＳ１５３３：第１のＩＰアドレスに基づいて、第３のインターフェースを通じて第１の試験パケットを中央ユニットのユーザプレーンに送信する。

【0048】

ステップＳ１５３４：中央ユニットのユーザプレーンが、第４のインターフェースを通じて第１の試験パケットをコアネットワークのＵＰＦエンティティに送信したかどうかを判定する。もし送信した判定する場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５３５に進む。もし送信していないと判定する場合、本実施形態の第１のセキュリティ試験プロセスはステップＳ１５３６に進む。

【0049】

ステップＳ１５３５：中央ユニットは、第１の送信元インターネットプロトコルアドレスを検査するための第１のセキュリティ仕組みを持っていないと判定する。

【0050】

ステップＳ１５３６：中央ユニットは、第１の送信元インターネットプロトコルアドレスを検査するための第１のセキュリティ仕組みを持っていると判定する。関連する詳細は前述の内容と同様であるため、ここではさらに詳述しない。

【0051】

必要であることを説明すると、他の実施形態において、処理回路１０２は、図５、図６及び図７の第１のセキュリティ試験プロセスを輪番で実行し、中央ユニット１４２がＴＥＩＤ、第３のＩＰアドレスＵＥ＿ＩＰ及び第１の送信元インターネットプロトコルアドレスＳ１＿ＩＰを検査するための第１のセキュリティ仕組みを有しているかどうかを判定することができる。

【0052】

さらに、図２に示すように、中央ユニット１４２の機密性及び完全性の保護機能を試験するために、本実施形態の情報セキュリティ試験方法は以下のステップを含むことができる。

【0053】

ステップＳ１６０：少なくとも１つの完全性キー、少なくとも１つの暗号化キー、ＴＥＩＤ、第１のＩＰアドレス、第２のＩＰアドレス及び第３のＩＰアドレスに基づき、第２の試験パケットを生成し、第３のインターフェースを通じて中央ユニットのユーザプレーンに送信し、中央ユニットが暗号化保護または完全性保護を実行するための第２のセキュリティ仕組みを有しているかどうかを判定する、第２のセキュリティ試験プロセスを実行する。

【0054】

便宜のため、前記ステップＳ１１０からＳ１６０はステップＳ１０と略称することができる。図８を参照してください。図８は、本発明の実施形態の情報セキュリティ試験装置の処理回路が、第２のセキュリティ試験プロセスを実行する構成の示意図である。図８に示すように、処理回路１０２は、第１の完全性キーＫ_{ＲＲＣｉｎｔ}、第２の完全性キーＫ_{ＵＰｉｎｔ}、第１の暗号化キーＫ_{ＲＲＣｅｎｃ}、及び第２の暗号化キーＫ_{ＵＰｅｎｃ}に基づき、暗号化されており完全性保護がない第２の試験パケットＴＰ２、或いは暗号化がなく完全性保護がある第２の試験パケットＴＰ２を生成することができ、かつ、その第２の試験パケットＴＰ２のコンテンツは第２のＩＰアドレスＤＵ＿ＩＰ、ＴＥＩＤ及び第３のＩＰアドレスＵＥ＿ＩＰを含む。また、第１のＩＰアドレスＵＰ＿ＩＰに基づき、処理回路１０２は、第３のインターフェース２３（即ち、Ｆ１－Ｕインターフェース）を通じて第２の試験パケットＴＰ２を中央ユニット１４２のユーザプレーン１４２２へ送信することができる。

【0055】

次に、処理回路１０２は、中央ユニット１４２のユーザプレーン１４２２が第４のインターフェース２４（即ちＮ３インターフェース）を通じて第２の試験パケットＴＰ２をコアネットワーク１６のＵＰＦエンティティ１６２へ送信したかどうかを判定できる。中央ユニット１４２のユーザプレーン１４２２が第４のインターフェース２４を通じて第２の試験パケットＴＰ２をコアネットワーク１６のＵＰＦエンティティ１６２へ送信していないと判定された場合、処理回路１０２は、中央ユニット１４２が暗号化保護または完全性保護を実施するための第２のセキュリティ仕組みを持っていると判定できる。

【0056】

さらに、図９を参照すると、図９は本発明の第１の実施形態の第２のセキュリティ試験プロセスのステップのフローチャートである。図９に示されるように、処理回路１０２が暗号化あり完全性保護なしの第２の試験パケットＴＰ２を生成する状況において、本実施形態の第２のセキュリティ試験プロセスは以下のステップを含む。

【0057】

ステップＳ１６１１：少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づき、暗号化あり完全性保護なしの第２の試験パケットを生成し、その第２の試験パケットのコンテンツは第２のＩＰアドレス、ＴＥＩＤ、及び第３のＩＰアドレスを含む。

【0058】

ステップＳ１６１２：第１のＩＰアドレスに基づき、第３のインターフェースを通じて中央ユニットのユーザプレーンへ第２の試験パケットを送信する。

【0059】

ステップＳ１６１３：中央ユニットのユーザプレーンが第４のインターフェースを通じてコアネットワークのＵＰＦエンティティへ第２の試験パケットを送信したかどうかを判定する。もし送信した判定する場合、本実施形態の第２のセキュリティ試験プロセスはステップＳ１６１４に進む。もし送信していないと判定する場合、本実施形態の第２のセキュリティ試験プロセスはステップＳ１６１５に進む。

【0060】

ステップＳ１６１４：中央ユニットが完全性保護の実行のための第２のセキュリティ仕組みを持たないと判定する。

【0061】

ステップＳ１６１５：中央ユニットが完全性保護の実行のための第２のセキュリティ仕組みを持つと判定する。

【0062】

また、図１０も参照していただきたい。図１０は本発明の第２実施形態の第２のセキュリティ試験プロセスのフローチャートである。図１０に示すように、処理回路１０２が暗号化されていない完全性保護の第２の試験パケットＴＰ２を生成する場合、本実施形態の第２のセキュリティ試験プロセスは以下のステップを含む。

【0063】

ステップＳ１６２１：少なくとも１つの完全性キー及び少なくとも１つの暗号化キーに基づいて、第２の試験パケットを生成する。この第２の試験パケットは暗号化されておらず、完全性で保護されており、コンテンツとしては第２のＩＰアドレス、ＴＥＩＤ、及び第３のＩＰアドレスを含む。

【0064】

ステップＳ１６２２：第１のＩＰアドレスに基づき、第３のインターフェースを通じて、中央ユニットのユーザプレーンに第２の試験パケットを送信する。

【0065】

ステップＳ１６２３：中央ユニットのユーザプレーンが、第４のインターフェースを通じて第２の試験パケットをコアネットワークのＵＰＦエンティティに送信しているかを判定する。もし送信した判定する場合、本実施形態の第２のセキュリティ試験プロセスはステップＳ１６２４に進む。もし送信していないと判定する場合、本実施形態の第２のセキュリティ試験プロセスはステップＳ１６２５に進む。

【0066】

ステップＳ１６２４：中央ユニットが暗号化保護を実行するための第２のセキュリティ仕組みを有していないと判定する。

【0067】

ステップＳ１６２５：中央ユニットが暗号化保護を行うための第２のセキュリティ仕組みを有していると判定する。

【0068】

同様に、他の実施形態では、処理回路１０２が図９および図１０の第２のセキュリティ試験プロセスを輪番で実行し、中央ユニット１４２が暗号化保護および完全性保護を行うための第２のセキュリティ仕組みを有しているかどうかを判定することもできる。

【0069】

他方、基地局１４の中央ユニット１４２に対する試験だけでなく、本実施形態の情報セキュリティ試験装置１０は、コアネットワーク１６のＵＰＦエンティティ１６２に対しても情報セキュリティ試験を行うことができる。したがって、図１１を参照されたい。図１１は、本発明の第２実施例の情報セキュリティ試験方法のフローチャートであり、図２と共通する部分については、改めて詳述する必要はない。

【0070】

図１１に示すように、図２と比較して、本実施形態の情報セキュリティ試験方法は、以下のステップを含むことができる。

【0071】

ステップＳ１７０：コアネットワークから基地局へ第１のインターフェースを通じて送信される第５のシグナリングにより、ＴＥＩＤ及びコアネットワークのＵＰＦエンティティの第４のＩＰアドレスを取得する。

【0072】

ステップＳ１８０：基地局からコアネットワークへ第１のインターフェースを通じて送信される第６のシグナリングにより、基地局の第５のＩＰアドレスを取得する。

【0073】

ステップＳ１９０：ＴＥＩＤ、第３のＩＰアドレス、第４のＩＰアドレス及び第５のＩＰアドレスに基づいて第３の試験パケットを生成し、第４のインターフェースを通じてコアネットワークのＵＰＦエンティティへ送信することで、コアネットワークのＵＰＦエンティティがＴＥＩＤ、第３のＩＰアドレスまたは第２の送信元ＩＰアドレスを検査するための第３のセキュリティ仕組みを有しているかどうかを判定する、第３のセキュリティ試験プロセスを実行する。

【0074】

以下の説明を容易にするために、上述のステップＳ１７０からＳ１８０は第２の試験パラメータ取得プロセスとして定義することができ、情報セキュリティ試験装置１０のパケット抽出部１００は、前記第２の試験パラメータ取得プロセスを実行するために配置する。図１２を参照されたい。図１２は、本発明の実施形態の情報セキュリティ試験装置のパケット抽出部が第２の試験パラメータ取得プロセスを実行することを示す図である。

【0075】

図１２に示すように、パケット抽出部１００は、コアネットワーク１６のＡＭＦエンティティ１６０から基地局１４への第１のインターフェース２１（例えば、Ｎ２インターフェース）を通じて送信される第５のシグナリングＭ５から、ＴＥＩＤ、及びコアネットワーク１６のＵＰＦエンティティ１６２の第４のＩＰアドレスＵＰＦ＿ＩＰを取得する。また、基地局１４からコアネットワーク１６のＡＭＦエンティティ１６０への第１のインターフェースを通じて送信される第６のシグナリングＭ６から、基地局１４の第５のＩＰアドレスｇＮＢ＿ＩＰを取得する。

【0076】

本実施形態では、第５のシグナリングＭ５は、例えば、ＴＥＩＤ及び第４のＩＰアドレスＵＰＦ＿ＩＰを含むＰＤＵセッションリソース設定要求（ＰＤＵ Ｓｅｓｓｉｏｎ Ｒｅｓｏｕｒｃｅ Ｓｅｔｕｐ Ｒｅｑｕｅｓｔ）シグナリングであり、また、第６のシグナリングＭ６は、例えば、第５のＩＰアドレスｇＮＢ＿ＩＰを含むＰＤＵセッションリソース設定応答（ＰＤＵ Ｓｅｓｓｉｏｎ Ｒｅｓｏｕｒｃｅ Ｓｅｔｕｐ Ｒｅｓｐｏｎｓｅ）シグナリングであるが、本発明はこれに限定されない。さらに、コアネットワーク１６のＵＰＦエンティティ１６２にとって、基地局１４の第５のＩＰアドレスｇＮＢ＿ＩＰは、第２の送信元ＩＰアドレスＳ２＿ＩＰ（図示せず）とも呼ばれ、コアネットワーク１６のＵＰＦエンティティ１６２には、第２の送信元ＩＰアドレスＳ２＿ＩＰを検査するための第３のセキュリティ仕組みを備えることができる。

【0077】

したがって、処理回路１０２は、パケット抽出部１００が取得したＴＥＩＤ、第３のＩＰアドレスＵＥ＿ＩＰ、又は第５のＩＰアドレスｇＮＢ＿ＩＰを改ざんすることによって、コアネットワーク１６のＵＰＦエンティティ１６２が、ＴＥＩＤ、第３のＩＰアドレスＵＥ＿ＩＰ、又は第２の送信元ＩＰアドレスＳ２＿ＩＰを検査するための第３のセキュリティ仕組みを有しているかどうかを試験することができる。以下の説明のための便宜上、パケット抽出部１００が取得したＴＥＩＤ、第３のＩＰアドレスＵＥ＿ＩＰ、及び第５のＩＰアドレスｇＮＢ＿ＩＰは、複数の第２の試験パラメータとして定義することができる。図１３も参照されたい。図１３は、本発明の実施形態の情報セキュリティ試験装置の処理回路が、第３のセキュリティ試験プロセスを実行するために構成された様子を示す図である。

【0078】

図１３に示されるように、第２の試験パラメータのうちの１つを改ざんした後、処理回路１０２は、第３の試験パケットＴＰ３を生成することができ、第３の試験パケットＴＰ３のコンテンツには、改ざんされた第２の試験パラメータ（以下、第２の目的試験パラメータと簡称する）及び他の未改ざんの第２の試験パラメータが含まれている。さらに、第４のＩＰアドレスＵＰＦ＿ＩＰに基づいて、処理回路１０２は、第４のインターフェース２４（即ちＮ３インターフェース）を通じて、第３の試験パケットＴＰ３をコアネットワーク１６のＵＰＦエンティティ１６２に送信することができる。

【0079】

次に、処理回路１０２はコアネットワーク１６のＵＰＦエンティティ１６２が第５のインターフェース２５（即ちＮ６インターフェース）を通じて第３の試験パケットＴＰ３をデータネットワーク１８に送信したか否かを判定することができる。コアネットワーク１６のＵＰＦエンティティ１６２が第５のインターフェース２５を通じて第３の試験パケットＴＰ３をデータネットワーク１８に送信していないと判定されたことに応答し、処理回路１０２はコアネットワーク１６のＵＰＦエンティティ１６２が第２の目的試験パラメータを検査するための第３のセキュリティ仕組みを有していると判定することができる。

【0080】

具体的には、処理回路１０２はパケット抽出部１００を通じて第５のインターフェース２５上で伝送される信号を取得し分析することにより、ＵＰＦエンティティ１６２が第５のインターフェース２５を通じて第３の試験パケットＴＰ３をデータネットワーク１８に送信したか否かを判定することができる。しかし、本発明は処理回路１０２がＵＰＦエンティティ１６２が第５のインターフェース２５を通じて第３の試験パケットＴＰ３をデータネットワーク１８に送信しているか否かを判定する具体的な実施形態に限定されない。

【0081】

さらに、図１４を参照されたい。図１４は本発明の第１の実施形態における第３のセキュリティ試験プロセスのフローチャートである。図１４に示されるように、処理回路１０２がパケット抽出部１００から取得したＴＥＩＤを改ざんすることを選択した場合、本実施形態の第３のセキュリティ試験プロセスは以下のステップを含むことができる。

【0082】

ステップＳ１９１１：ＴＥＩＤを改ざんする。

【0083】

ステップＳ１９１２：第３の試験パケットを生成し、そのコンテンツに第３のＩＰアドレス、第５のＩＰアドレス及び改ざん後のＴＥＩＤを含む。

【0084】

ステップＳ１９１３：第４のＩＰアドレスに基づいて、第４のインターフェースを通じて第３の試験パケットをコアネットワークのＵＰＦエンティティに送信する。

【0085】

ステップＳ１９１４：コアネットワークのＵＰＦエンティティが、第５のインターフェースを通じて第３の試験パケットをデータネットワークに送信したかどうかを判定する。もし送信した判定する場合、本実施形態の第３のセキュリティ試験プロセスはステップＳ１９１５に進む。もし送信していないと判定する場合、ステップＳ１９１６に進む。

【0086】

ステップＳ１９１５：コアネットワークのＵＰＦエンティティが、ＴＥＩＤを検査するための第３のセキュリティ仕組みを持たないと判定する。

【0087】

ステップＳ１９１６：コアネットワークのＵＰＦエンティティが、ＴＥＩＤを検査するための第３のセキュリティ仕組みを持つと判定する。

【0088】

また、図１５も参照されたい。図１５は、本発明の第２の実施形態の第３のセキュリティ試験プロセスのフローチャートである。図１５に示されるように、処理回路１０２が封包抽出部１００によって得られた第３のＩＰアドレスＵＥ＿ＩＰを改ざんすることを選択した場合、本実施形態の第３のセキュリティ試験プロセスは、以下のステップを含むことができる。

【0089】

ステップＳ１９２１：第３のＩＰアドレスを改ざんする。

【0090】

ステップＳ１９２２：第３の試験パケットを生成し、そのコンテンツには第５のＩＰアドレス、ＴＥＩＤ、および改ざんされた第３のＩＰアドレスを含む。

【0091】

ステップＳ１９２３：第４のＩＰアドレスに基づき、第４のインターフェースを通じて第３の試験パケットをコアネットワークのＵＰＦエンティティに送信する。

【0092】

ステップＳ１９２４：コアネットワークのＵＰＦエンティティが第５のインターフェースを通じて第３の試験パケットをデータネットワークに送信したかどうかを判定する。もし送信した判定する場合、本実施形態の第３のセキュリティ試験プロセスはステップＳ１９２５に進む。もし送信していないと判定する場合、ステップＳ１９２６に進む。

【0093】

ステップＳ１９２５：コアネットワークのＵＰＦエンティティが、第３のＩＰアドレスを検査するための第３のセキュリティ仕組みを有していないことを判定する。

【0094】

ステップＳ１９２６：コアネットワークのＵＰＦエンティティが、第３のＩＰアドレスを検査するための第３のセキュリティ仕組みを有していることを判定する。

【0095】

同様に、図１６も参照されたい。図１６は、本発明の第３の実施形態における第３のセキュリティ試験プロセスのステップフロー図である。図１５に示されるように、処理回路１０２が、パケット抽出部１００によって取得された第５のＩＰアドレスｇＮＢ＿ＩＰ（すなわち、第２の送信元ＩＰアドレスＳ２＿ＩＰ）に対して改ざんを選択する場合、本実施形態の第３のセキュリティ試験プロセスは、以下のステップを含むことができる。

【0096】

ステップＳ１９３１：第５のＩＰアドレスを改ざんする。

【0097】

ステップＳ１９３２：第３の試験パケットを生成し、第３の試験パケットのコンテンツにはＴＥＩＤ、第３のＩＰアドレス、及び改ざんされた第５のＩＰアドレスが含まれる。

【0098】

ステップＳ１９３３：第４のＩＰアドレスに基づき、第４のインターフェースを通じて第３の試験パケットをコアネットワークのＵＰＦエンティティに送信する。

【0099】

ステップＳ１９３４：コアネットワークのＵＰＦエンティティが第５のインターフェースを通じて第３の試験パケットをデータネットワークに送信したかどうかを判定する。もし送信した判定する場合、本実施形態の第３のセキュリティ試験プロセスはステップＳ１９３５に進む。もし送信していないと判定する場合、本実施形態の第３のセキュリティ試験プロセスはステップＳ１９３６に進む。

【0100】

ステップＳ１９３５：コアネットワークのＵＰＦエンティティが第２の送信元ＩＰアドレスを検査するための第３のセキュリティ仕組みを持たないことを判定する。

【0101】

ステップＳ１９３６：コアネットワークのＵＰＦエンティティが第２の送信元ＩＰアドレスを検査するための第３のセキュリティ仕組みを持つことを判定する。

【0102】

同様に、他の実施形態では、処理回路１０２は図１４、図１５および図１６の第３のセキュリティ試験プロセスを輪番で実行し、コアネットワーク１６のＵＰＦエンティティ１６２がＴＥＩＤ、第３のＩＰアドレスＵＥ＿ＩＰおよび第２の送信元ＩＰアドレスＳ２＿ＩＰを検査するための第３のセキュリティ仕組みを持つかどうかを判定する。図１４、図１５および図１６の関連詳細は既に前述の内容の通りであるため、ここではそれ以上の詳細な説明は省略する。

【0103】

一方、情報セキュリティ試験方法は、ステップＳ１４０、Ｓ１７０、Ｓ１８０及びＳ１９０のみを含み、ＵＰＦエンティティ１６２に対して個別に情報セキュリティ試験を行うこともできる。つまり、他の実施形態では、ＵＰＦエンティティ１６２に対する情報セキュリティ試験のみが必要な場合、情報セキュリティ試験装置１０は、ユーザー機器１２、基地局１４及びコアネットワーク１６が通信接続を確立した後、ステップＳ１４０、Ｓ１７０、Ｓ１８０及びＳ１９０のみを実行することもできる。詳細は前述の通りであるため、ここでは詳細については述べない。

【0104】

以上の通り、本発明は、情報セキュリティ試験方法及び情報セキュリティ試験装置を提供する。これにより、インターフェース上で伝送される信号を抽出して分析し、合法的なユーザーのＴＥＩＤ及びＩＰアドレスを取得し、取得したＴＥＩＤ及びＩＰアドレスを使用して中央ユニットがＴＥＩＤまたはＩＰアドレスを検査するためのセキュリティ仕組みを持っているかどうかを試験する。したがって、本発明の情報セキュリティ試験方法及び情報セキュリティ試験装置は、従来技術と比較して、試験プロセスを加速し、試験効率を向上させることができ、中央ユニットがＴＥＩＤまたはＩＰアドレスを検査するためのセキュリティ仕組みを正確に判定することができる。さらに、本発明の情報セキュリティ試験方法及び情報セキュリティ試験装置は、中央ユニットの機敏性及び完全性の保護機能に対しても試験を行うことができ、コアネットワークのＵＰＦエンティティに対しても情報セキュリティ試験を行うことができ、ＵＰＦエンティティがＴＥＩＤまたはＩＰアドレスを検査するためのセキュリティ仕組みを持っているかどうかを判定することができる。

【0105】

以上に開示される内容は本発明の好ましい実施可能な実施例に過ぎず、これにより本発明の特許請求の範囲を制限するものではないので、本発明の明細書及び添付図面の内容に基づき為された等価の技術変形は、全て本発明の特許請求の範囲に含まれるものとする。

【符号の説明】

【0106】

１０ セキュリティ試験装置
１００ パケット抽出部
１０２ 処理回路
１２ ユーザー機器
１４ 基地局
１４０ 配布ユニット
１４２ 中央ユニット
１４２０ 制御面
１４２２ ユーザーインターフェース
１６ コアネットワーク
１６０ ＡＭＦエンティティ
１６２ ＵＰＦエンティティ
２１，２２，２３，２４ インターフェース
Ｍ１，Ｍ２，Ｍ３，Ｍ４，Ｍ５，Ｍ６ シグナリング
Ｋ_{ＲＲＣｉｎｔ}，Ｋ_{ＵＰｉｎｔ} 完全性キー
Ｋ_{ＲＲＣｅｎｃ}，Ｋ_{ＵＰｅｎｃ} 暗号化キー
ＴＥＩＤ トンネル終点識別子
ＵＰ＿ＩＰ，ＤＵ＿ＩＰ，ＵＥ＿ＩＰ，ＵＰＦ＿ＩＰ，ｇＮＢ＿ＩＰ ＩＰアドレス
ＴＰ１，ＴＰ２，ＴＰ３ テストパケット
１８ データネットワーク
Ｓ１１０～Ｓ１９０，Ｓ１５１１～Ｓ１５１６，Ｓ１５２１～Ｓ１５２６，Ｓ１５３１～Ｓ１５３６，Ｓ１６１１～Ｓ１６１５，Ｓ１６２１～Ｓ１６２５，Ｓ１８１１～Ｓ１８１６，Ｓ１８２１～Ｓ１８２６，Ｓ１８３１～Ｓ１８３６，Ｓ１０ ステップ

【要約】

【課題】情報セキュリティ試験方法及び情報セキュリティ試験装置を公開する。
【解決手段】本発明は、ユーザー機器、基地局及びコアネットワークが通信接続を確立した後に送信されるシグナリングから、少なくとも完全性キー、少なくとも１つの暗号化キー、トンネル終点識別子、中央ユニットのユーザプレーンの第１のＩＰアドレス、配布ユニットの第２のインターネットプロトコルアドレス、及びユーザー機器の第３のインターネットプロトコルアドレスを取得し、そして、中央ユニットのユーザプレーンへ送信する第１試験パケットを生成し、中央ユニットが、トンネル終点識別子、第３のインターネットプロトコルアドレス又は第１の送信元インターネットプロトコルアドレスを検査するための第１のセキュリティ機構を持っているかを判定する、情報セキュリティ試験装置及び情報セキュリティ試験装置を開示する。
【選択図】図２

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【図15】

【図16】